欧美一级特黄aaaaaa大片在线观看_国产成人91_日韩一区二区三区福利视频_91av视频在线_日韩一区二区精品_在线视频亚洲

問診12306之五:系統限于能用 安全漏洞級別高

作者: 來源:未知 2012-09-29 21:30:43 閱讀 我要評論 直達商品

  9月29日上午消息,鐵道部12306網暴露出的安全漏洞,引發業界強烈的反響。網絡安全專家張百川稱,其漏洞已經到了最為嚴重的安全級別,如果不及時封堵,存在庫里面的個人信息,包括訂票信息,都“可能”被別人拿到。

  其編程過程不嚴謹、數據庫知識了解不夠,搭建系統的時候,僅限于“能用”,而沒有從多角度考慮。建議鐵道部必須“開放!放棄壟斷、放下架子,主動邀請像搜狐、新浪、阿里巴巴(淘寶)、騰訊、京東等的團隊,就目前的現狀進行探討,找出解決方法!

  以下是搜狐IT書面采訪張百川全文實錄:

  搜狐IT:鐵道部12306網站目前暴露出的漏洞的是怎樣的級別,危害程度有多大?

  張百川:看到是有SQL注入、XSS跨站漏洞,這兩個一般在各類網站安全評估軟件中,評估級別都是高。因多數都能拿到部分數據,如拿到管理員的帳號、密碼(要是再知道后臺地址就可以登錄了)、跑出訂票信息等。嚴重點說,存在庫里面的個人信息,包括訂票信息,都“可能”拿到。(之所以說可能,是因為目前沒有人公開說拿到數據庫,但這并不是說沒有這個可能,畢竟法律風險太大,拿到也不會公開說)

  搜狐IT:12306網站目前暴露出的漏洞遭遇攻擊的難易程度如何?

  張百川:就SQL注入和XSS跨站而言,利用的難度有高有低。最低的,利用工具1分鐘就可以跑出數據庫里面的數據,難度高的,可以綜合利用工具和人工進行攻擊。同樣是漏洞,可利用的難度差異很大。12306的漏洞,至少不是屬于“最弱智”的那一類,要不早就被初中練手的小孩們拿下了。

  搜狐IT:12306網站為什么會出現這樣漏洞?背后的原因是什么?技術水平如何?

  張百川:編程過程不嚴謹、數據庫知識了解不夠,搭建系統的時候,僅限于“能用”,而沒有從多角度考慮。

  如,目前微博爆出來的:SQL注入漏洞、XSS跨站漏洞,是自身安全意識的缺乏或者水平較低導致的。有人說是:畢業設計吧?!對此表示贊同。

  并且,從目前的一些安全圈朋友測試來看,本身存在安全隱患,并且也沒有采用第三方的安全防護手段。如部署入侵防御系統、WEB應用防火墻,或者采用一些廠家目前在做的云安全手段等。

  個人認為,該系統驗收的時候,目標僅僅是“能用”,至于好不好用、安全不安全,似乎都沒有考慮在內。這樣的要求,在很多項目中,屬于比較低的水平。

  搜狐IT:評價12306網站的整體安全水平如何?與此前CSDN、阿里巴巴、天涯等遭遇攻擊比較,防御能力如何?

  張百川:低!上面提到了,本身做不好,又沒有采用第三方的安全防護手段,如可以直接提交SQL注入語句、直接提交XSS跨站語句,甚至不用考慮做代碼變形以繞過安全防護系統。

  看了下網上的消息,CSDN被黑就是因為SQL注入漏洞;阿里巴巴、天涯的,網上沒有詳細的說明,不好判斷。嚴重與否,取決于數據庫是否被下載后又大量傳播……像上面的幾個網站數據庫,就都曾經在圈子里面流通過。

  搜狐IT:如何評價12306網站,你給鐵科研有那些好的建議?

  張百川: 開放!放棄壟斷、放下架子,主動邀請像新浪、阿里巴巴(淘寶)、騰訊、京東等的團隊,就目前的現狀進行探討,找出解決方法。上面的這些網站,對大規模、大并發的網站運營有非常好的經驗。

  個人認為,因為火車票是歸當地鐵路局管的,因此可以做分布式,將數據庫剝離開,放在每個鐵路局的機房,這樣可以分擔壓力,變同時訪問1個網站為多個網站。并且多數用戶都是就近訪問服務器,速度快、壓力小。

  張百川,“游俠安全網”(www.youxia.org)站長、MCP/MCSE/MCDBA、Linux網絡管理工程師。對主機審計、網絡審計、數據庫審計、運維審計等有深刻認識和研究,對信息與網絡安全方案的規劃、設計、實施有豐富的實戰經驗。以“網路游俠”為名在多家專業網絡安全、信息安全媒體發表作品30余篇。

  12306系列報道:

  12306網系列報道: 

  問診12306之一:從業務模型到產品設計都不專業

  問診12306之二:系統不開放 3億投資恐打水漂

  問診12306之三:漏洞大,數億用戶信息可能外泄

  問診12306之四:產品設計團隊缺乏經驗

  評論:3年3億鐵道部12306網"試錯"成本過高

  評論:鐵道部回應12306招標質疑漏洞多 


  推薦閱讀

  國家互聯網信息辦:堅決整治網上淫穢色情信息

國家互聯網信息辦:堅決整治網上淫穢色情信息 已查處互聯網企業287家 據新華社北京9月28日電 記者從國家互聯網信息辦公室了解到:在整治互聯網和手機媒體傳播淫穢色情及低俗信息專項行動中,已查處互聯網企業287家,>>>詳細閱讀


本文標題:問診12306之五:系統限于能用 安全漏洞級別高

地址:http://www.geekbao.cn/a/11/20120929/87226.html

 1/2    1  2 下一頁

樂購科技部分新聞及文章轉載自互聯網,供讀者交流和學習,若有涉及作者版權等問題請及時與我們聯系,以便更正、刪除或按規定辦理。感謝所有提供資訊的網站,歡迎各類媒體與樂購科技進行文章共享合作。

網友點評
我的評論: 人參與評論
驗證碼: 匿名回答
網友評論(點擊查看更多條評論)
友情提示: 登錄后發表評論,可以直接從評論中的用戶名進入您的個人空間,讓更多網友認識您。
自媒體專欄

評論

熱度

主站蜘蛛池模板: 日韩毛片免费观看 | 91精品国产高清91久久久久久 | 亚洲欧美综合网站 | 亚洲 欧美 日韩 小说 另类 | 伊人久久成人成综合网222 | 成人区精品一区二区毛片不卡 | 亚洲综合日韩在线亚洲欧美专区 | 亚洲欧美在线一区 | 欧美日韩一区二区三区免费 | 免费一看一级毛片全播放 | 亚洲国产精品日韩一线满 | 日韩在线观看不卡 | 国产一区二区三区高清 | 欧美成人精品一级高清片 | 亚洲成色999久久网站 | 国产成人欧美一区二区三区vr | 热久久91 | 日韩欧美在线第一页 | 日韩在线欧美 | 香蕉久久ac一区二区三区 | 亚洲风情第一页 | 伊人久久精品一区二区三区 | 国产a级免费| 国产91在线视频 | 精品在线免费播放 | 久久91精品国产99久久yfo | 一本一本久久α久久精品66 | 日产精品久久久一区二区 | 国产高清美女一级a毛片久久 | 亚洲一区二区三区高清 | 日韩精品免费观看 | 精品国产高清自在线一区二区三区 | 一级a毛片免费观看久久精品 | 国产亚洲欧美日韩综合另类 | 国产成人精品一区二区 | 国产精品一区二区三区四区五区 | 2021国产精品自拍 | 欧美一区二区在线视频 | 日韩 综合 | 欧美日韩精品一区二区三区视频播放 | 欧美日韩在线视频 |